Muss PHP mit MySQL interagieren und maskiert werden?

PHP Interactive MySQL muss maskiert werden, da einige Zeichen wie einfache Anführungszeichen, doppelte Anführungszeichen und Backslashes in SQL-Anweisungen eine besondere Bedeutung haben. Um zu vermeiden, dass diese Zeichen missverstanden werden, müssen sie maskiert werden und gleichzeitig vermieden werden SQL-Injection-Angriff, der Angreifer daran hindert, bösartigen SQL-Code auszuführen, um das Verhalten der Anwendung zu ändern, z. B. Daten zu löschen, vertrauliche Informationen abzurufen usw.

Das Betriebssystem dieses Tutorials: Windows 10-System, PHP8.1.3-Version, Dell G3-Computer.

Bei der Verwendung von PHP zur Interaktion mit MySQL haben einige Zeichen in SQL-Anweisungen eine besondere Bedeutung. Um zu verhindern, dass diese Zeichen missverstanden werden, müssen sie maskiert werden.

Im Allgemeinen gehören zu den Zeichen, die wir als Escapezeichen benötigen, folgende: einfache Anführungszeichen ('), doppelte Anführungszeichen (") und Backslash ().

Stellen Sie beispielsweise in PHP-Code eine Verbindung zur MySQL-Datenbank über die MYSQLI-Erweiterung her und Daten einfügen:

```php
$name = "John O'Connor";
$age = 25;
mysqli_query($conn, "INSERT INTO users(name, age) VALUES('$name', '$age')");
```

Wenn die Variable $name einfache Anführungszeichen enthält, führt dies zu einem Fehler bei der Ausführung der SQL-Anweisung. Um diese Situation zu vermeiden, können Sie die Funktion mysqli_real_escape_string() verwenden, um die Daten zu maskieren:

```php
$name = "John O'Connor";
$age = 25;
$name = mysqli_real_escape_string($conn, $name);
mysqli_query($conn, "INSERT INTO users(name, age) VALUES('$name', '$age')");
```

Diese Funktion wird automatisch ausgeführt Escape-Sonderzeichen für ihre sicheren Entsprechungen. Selbst wenn die Variable $name ein einfaches Anführungszeichen enthält, verursacht dies keinen SQL-Injection-Angriff Schwachstellen, die nicht ordnungsgemäß gefiltert werden, können es Angreifern ermöglichen, schädlichen SQL-Code auszuführen, um das Verhalten der Anwendung zu ändern, z. B. Daten zu löschen, vertrauliche Informationen abzurufen usw. Die Verwendung von Escape kann dazu beitragen, diesen Angriff zu verhindern Für das Tool und die Programmiersprache wird die Funktion mysqli_real_escape_string() als Beispiel bereitgestellt.

<?php
// 建立数据库连接
$conn = mysqli_connect("localhost", "username", "password", "database");
// 检查连接是否成功
if (!$conn) {
  die("Connection failed: " . mysqli_connect_error());
}
// 要转义的字符串
$string_to_escape = "It&#39;s a beautiful day!";
// 对字符串进行转义
$escaped_string = mysqli_real_escape_string($conn, $string_to_escape);
// 输出未转义的字符串和转义后的字符串
echo "Original string: " . $string_to_escape . "<br>";
echo "Escaped string: " . $escaped_string;
// 关闭数据库连接
mysqli_close($conn);
?>

Im obigen Beispiel stellen wir zunächst eine Verbindung zur MySQL-Datenbank her und deklarieren diese mit Escapezeichen Mit der Funktion mysqli_real_escape_string() geben wir schließlich den Original-String und den Escape-String aus und schließen die Datenbankverbindung. Bitte beachten Sie, dass wir bei Verwendung der Funktion mysqli_real_escape_string() ein MySQL-Verbindungsobjekt als erstes Argument übergeben müssen liegt daran, dass die Funktion wissen muss, welcher MySQL-Server verwendet wird, um korrekt zu entkommen

Das obige ist der detaillierte Inhalt vonMuss PHP mit MySQL interagieren und maskiert werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!